Аннотация
Это вводный курс по проектированию, развертыванию и управлению инфраструктурой открытого ключа (PKI) для поддержки приложений, которым требуется распределенная безопасность.
Аудитория
Курс ориентирован на системных инженеров, которые отвечают за проектирование и применение решений по безопасности.
Предварительная подготовка
- Знания и навыки системного администрирования базовых ОС.
- Знакомство с инфраструктурой Active Directory.
- Понимание основных процессов ИБ, включая подсистемы идентификации, аутентификации и авторизации.
- Понимание основных характеристик защищенности информации.
По окончании курса слушатели смогут:
- Описывать инфраструктуру и основные компоненты инфраструктуры открытого ключа
- Проектировать иерархию Certification Authority (CA) для соответствия бизнес-требованиям
- Устанавливать Certificate Services для создания иерархии Certification Authority
- Выполнять задачи по управлению сертификатами, Certification Authority , и планировать процесс восстановления Certificate Services.
Программа:
1. Криптография.
- Криптология и раздел криптоанализа.
- ИОК/PKI: задачи, технологии, принципы.
- Хэш-функции; режимы работы и HMAC.
- Шифрование с закрытым ключом - блочные и поточные шифры, режимы работы и пространство ключей.
- Примеры использования и настройки в Windows-системах.
- KDF (PBKDF2, scrypt, bcrypt) и генерация ключевого материала; PRGN. - Библиотеки в Windows - CryptoAPI - NCrypt и BCrypt. CNG. CAPICOM.
- Библиотеки в Unix - OpenSSL.
- Стандарты, с которыми сталкивается Windows-администратор - FIPS 140-x, FIPS 180-x. Suite B.
- Алгоритмы с открытым ключом. RSA, DH, ECDH. Схема DSA.
- Эллиптические кривые и их применение - ECDH, ECDSA. 1.10.
- Понятие Perfect Forward Secrecy.
2. Компоненты PKI
- CA (Certification Authority), сертификаты x.509v3, шаблоны сертификатов, локальное хранилище сертификатов, CRL и механизмы их проверки (CDP и OCSP), AIA.
- Утилиты и инструменты для управления PKI в Windows-системах. certutil, certreq, компоненты MMC, PKI Health Tool.
- Стандарты PKCS. 2.4 Работа CCE (Certificate Chaining Engine) и связанные с его работой настройки на локальной системе.
3. Иерархия CA
- Роли в Certification Authority Hierarchy.
- Доверие - Trusted Root и другие Trusted-хранилища на локальной системе.
- Определение требований к иерархии CA для данной организации. Project scope / design scope.
- Определение приложений, использующих PKI - 802.1x, IPsec, подтверждение подлинности SSL/TLS, EFS, цифровые подписи почты и документов, вход в систему через токены/смарткарты, подпись ПО, SRP / AppLocker.
- Определение учётных записей, использующих PKI - пользователи, компьютеры, MSA.
- Определение приложений, использующих PKI - 802.1x, IPsec, подтверждение подлинности SSL/TLS, EFS, цифровые подписи почты и документов, вход в систему через токены/смарткарты, подпись ПО, SRP / AppLocker.
- Определение учётных записей, использующих PKI - пользователи, компьютеры, MSA.
- Механизм Authentication Assurance.
- Технические требования (безопасность, работа с партнёрами, использование сервисов не-сотрудниками, соответствие отраслевым стандартам), задачи управления (кто будет выполнять какие задачи, связанные с работой ИОК).
- Типы иерархий CA - по классу использования, по географической локации, по структуре организации.
- Создание CPS - Certificate Practice Statement, влияние на него Certificate Policy и Security Policy.
- Технические требования (безопасность, работа с партнёрами, использование сервисов не-сотрудниками, соответствие отраслевым стандартам), задачи управления (кто будет выполнять какие задачи, связанные с работой ИОК).
- Типы иерархий CA - по классу использования, по географической локации, по структуре организации.
- Создание CPS - Certificate Practice Statement, влияние на него Certificate Policy и Security Policy.
- Публикация CPS на Policy CA.
- Рекомендации по проектированию и оптимизации CA Hierarchy.
- Рекомендации по проектированию и оптимизации CA Hierarchy.
- Вопросы availability сервисов PKI-инфраструктуры.
- Понятия кросс-сертификации и qualified subordination.
- Типы CA - интегрированный в Active Directory (enterprise) и standalone.
- Типы CA - интегрированный в Active Directory (enterprise) и standalone.